모 수학 전문 인터넷 강의사이트(www.XXmath.kr)의 자유게시판, 공지게시판 등에서 블라인드 SQL인젝션 취약점이 발견됐다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 윤성권(0xyzen TEAM 소속) 군은 “자유, 공지 게시판의 글 중 하나를 골라 뒷주소에 에러를 내는 문자를 삽입하면 적용된다”며 “블라인드 SQL 인젝션은 악의적인 스크립트를 삽입해 쿼리결과로 나오는 결과에 따라 DB를 공격하는 기법”이라고 설명했다.
 
윤 군은 이번 취약점에 대해 “SQL 구문을 필터링 하지 않아 오류정보를 획득해 데이터베이스 즉 DB에 접근해 빼온 DB로 홈페이지의 회원들의 아이디, 패스워드, IP 주소, 거주지, 생일, 연락처 등등 관리자의 계정까지 획득 할 수 있어 빠른 패치가 필요하다”고 경고했다.
 
그는 또 취약점 보안 방안에 대해 "SQL 구문을 필터링해 서버단에서 처리하거나 다른 문자로 치환하거나 쿼리 에너가 났을 때 에러에 대한 정보를 표시 하지 않아야 한다“고 조언했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안패치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com